English

BYOD: Neue Möglichkeiten zur Sicherung mobiler Geräte

von VPNHaus | 18.06.2014 |Endpoint Management, Mobile, VPN

Mitarbeiter arbeiten effizienter, wenn sie ihre privaten Geräte für die Arbeit nutzen. Jedoch stellen diese Geräte aufgrund ihrer Anzahl und ihrer unterschiedlichen Betriebssysteme auch eine Gefahr für die Sicherheit des Unternehmensnetzwerks dar. Daher geht es im Zusammenhang mit der Verwendung von BYOD in Unternehmen vor allem um die Frage: Überwiegt die Produktivitätssteigerung der Mitarbeiter, welche durch die erlaubte Nutzung privater Mobilgeräte für Arbeitszwecke erreicht wird, alle eventuellen Netzwerksicherheitsrisiken für das Unternehmen?

Als Kompromisslösung, welche die Interessen von Arbeitnehmern und Arbeitgebern zusammenführt, ist die Festlegung von BYOD-Richtlinien hilfreich. Allerdings bringen diese nicht unbedingt sämtliche Arbeitnehmer- und Arbeitgeberinteressen unter einen Hut. Viel zu oft wird nämlich davon ausgegangen, dass Arbeitseffizienz und verbesserte Netzwerksicherheit sich gegenseitig ausschließende Konzepte sind.

Aus diesem Grund sind neue Technologien, welche Arbeitgebern bei der Sicherung von Mobilgeräten helfen könnten, so gefragt. Was sind das nun für Technologien? Bieten sie wirklich größere Vorteile als bereits vorhandene BYOD-Richtlinien und -Ansätze?

Ein „Kill Switch“ könnte BYOD neuen Schwung geben

Derzeit wird in Kalifornien gerade eine neue Gesetzesvorlage auf den Weg gebracht. Nach dieser würde von Mobilgeräteherstellern verlangt, dass sie ihre Produkte mit einem „Kill Switch“ – einer Not-Aus-Funktion – ausstatten. Damit ist es Nutzern möglich, ihr Telefon im Fall eines Verlusts oder Diebstahls per Fernsteuerung zu sperren. Dahinter steckt die Idee, dass potentielle Diebe weniger Anreiz zum Stehlen eines Mobiltelefons hätten, wenn sie wüssten, dass dieses durch einen Kill Switch unbrauchbar gemacht werden könnte.

Könnte diese Gesetzesvorlage mit der Bezeichnung SB 962, sollte sie als Gesetz in Kraft treten und damit einen nationalen Trend starten, BYOD auch attraktiver für Unternehmen machen? Nein, meint FierceCIO-Mitarbeiter Jeff Rubin. Kill Switches als Ergänzung oder sogar als vollwertige Alternative zu BYOD-Richtlinien bringen die Macht nicht wirklich zurück in die Hände des Unternehmens. Das Gerät gehört weiterhin dem Mitarbeiter. Somit liegt die Entscheidung, das Mobilgerät unbrauchbar zu machen, bei ihm. Der Arbeitgeber kann den Arbeitnehmer nicht legal zum Abschalten des Gerätes zwingen.

Separate Container, geringeres Risiko?

Alternativ könnte ein Unternehmen ein Mobilgerät mit zwei unterschiedlich anwendbaren Umgebungen, sogenannten Containern, herausgeben. Eine dieser Umgebungen innerhalb des Gerätes würde in diesem Falle ausschließlich Anwendungen und Informationen zu Arbeitszwecken enthalten. Die andere Umgebung wäre der privaten Nutzung des Mitarbeiters vorbehalten. Bei diesem Szenario würden IT-Abteilungen ein gewisses Maß an Übersicht und Kontrolle über die Geräte der Mitarbeiter erlangen. Außerdem würden sie, wie NetworkWorld betont, in der Lage sein, „Sicherheitsmaßnahmen umzusetzen, wie beispielsweise Authentifizierung, Verschlüsselung, Maßnahmen gegen Datenlecks, Cut-and-Paste-Restriktionen und selektives Löschen von Inhalten.“

Aber genau wie Kill Switches ist die Containerization von den technischen Medien als Patentlösung für BYOD geschmäht worden. Im letzten Sommer schrieb Ryan Faas von CITEworld, dass der „Dual Persona“-Ansatz der Containerization eigentlich die Vorteile, die ein Nutzer durch die Verwendung seines privaten Gerätes bei der Arbeit hätte, zunichte macht. Faas weist darauf hin, dass Containerization einfach eine extremere Variante von der Pre-BYOD-Praxis ist. Nach dieser erhalten die Mitarbeiter „ein gesperrtes und IT-kontrolliertes BlackBerry mit lediglich den Apps, welche von der IT für notwendig erachtet werden. Darüber hinaus [lässt man] sie ihre privaten Telefone zusätzlich mit sich führen.“ So könnte beispielsweise ein Mitarbeiter mit einem Dual-Container-Gerät eine App, welche nicht von der IT-Abteilung genehmigt ist, nicht zu Arbeitszwecken nutzen – auch dann nicht, wenn er oder sie glaubt, damit produktiver zu sein. Durch Aufgabe der Kontrolle über sein Gerät ist der Nutzer entweder weniger produktiv (da er den eigenen Workflow nicht bestimmen und die Apps nicht selbst wählen kann) oder er umgeht die IT-Beschränkungen (wodurch die Netzwerksicherheit gefährdet wird).

Jörg Hirschmann von NCP engineering schrieb in einem ZDNet-Artikel: „IOS und Android haben mit ergänzenden Zugangskontrollen einen nützlichen Weg beschritten... Dennoch ist dies noch längst kein ganzheitliches Defense-in-Depth-Sicherheitskonzept. Ebenso müssen sämtliche Betriebssysteme von Servern, Anwendungen, Datenbanken und Netzwerken berücksichtigt werden.“

„Dies“, so glaubt Hirschmann, „macht sorgfältige Planung, Überwachung und ausgereifte Firewalls erforderlich und bedingt sogar die Verwendung von Virtual Private Networks.“

Defense-In-Depth: eine End-to-End-Alternative

Eine genauere Untersuchung von neuen Sicherheitstechnologien für Mobilgeräte wie Kill Switches und Containerization zeigt, dass beide Ansätze die Sicherheitsfragen in Zusammenhang mit BYOD lediglich teilweise thematisieren. Darüber hinaus sind ihre Vorteile mit beträchtlichen Nachteilen verbunden.

Eine Defense-in-Depth-Strategie andererseits trägt dazu bei, Unternehmen vor Angriffen durch ansonsten gefährdete Endgeräte zu schützen, ohne Mitarbeitern die Kontrolle und Flexibilität, welche BYOD ihnen bietet, zu rauben. Aufgrund seiner redundanten Auslegung hilft ein Defense-in-Depth-Ansatz, Angriffe zu verhindern oder sogar möglicherweise aufzuhalten, bevor sie destabilisierend wirken. Beispielsweise schaffen technisch ausgereifte Firewalls und VPNs mit zentralem Management eine sichere, verschlüsselte Verbindung. Über diese können die Mitarbeiter dann auf das Unternehmensnetzwerk zugreifen. In Verbindung mit anderen Sicherheitstechnologien für Mobilgeräte sowie BYOD-Richtlinien, welche die Erwartungen an die Mitarbeiter klar definieren, erhöht Defense-in-Depth die Netzwerksicherheit.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK